기존 ISMS , PIMS 중복 인증으로 인한 부담 완화가 필요하다는 업계의 의견을 고려하여 기존 두 인증간 인증체계, 인증기준, 인증․심사기관 등 제도 전반의 실질적인 통합을 이루기 위한 것이다. 이에 따라 기업들은 새롭게 개편된 102개 통합 인증기준 중 정보보호 관련 80개 인증항목으로 기본적인 ‘정보보호 관리체계(ISMS) 인증’을 받을 수 있고, 개인정보 관련 22개 인증항목을 추가하면 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증도 받을 수 있다.
ISMS-P 란?
1. “정보보호 및 개인정보보호 관리체계 인증”이란 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의
조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다) 또는 인증기관이
증명하는 것을 말한다.
2. “정보보호 관리체계 인증”이란 인증 신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을
인터넷진흥원 또는 인증기관이 증명하는 것을 말한다
조직의 정보보호를 위해 인증을 취득하고자 하는 기관은 ISMS 인증을 받고, 정보서비스에 개인정보 흐름이 포함되어
개인정보 처리 단계별 보안을 강화하고자 한다면 ISMS 인증범위에 ‘개인정보 처리단계별 요구사항’ 분야를 포함하
ISMS-P 인증을 취득할 수 있다.
정보통신망법 제47조 제2항에 따른 ISMS 의무대상자는 ISMS 또는 ISMS-P 인증을 취득한 경우 인증의무를 이행한 것으로 본다
ISMS-P 인증심사의 종류
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’가 있다.
‘최초심사’는 ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사이며, 인증범위에 중요한
변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 한다. 최초심사를 통해 인증을 취득
하면 3년의 유효기간이 부여된다.
‘사후심사’는 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로
인증 유효기간 중 매년 1회 이상 실시하는 인증심사를 말한다.
• 고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가
발생한 경우 한국인터넷진흥원은 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을
할 수 있다.
‘갱신심사’는 ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사를 말한다.
• ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효
기간이 경과한 때에는 인증의 효력이 상실된다.
ISMS 추진체계
1 .정책기관(협의회)
과학기술정보통신부장관과 개인정보보호위원회는 ISMS-P 인증 운영에 관한 정책 사항을 협의하기
위하여 ISMS-P 인증 협의회(이하 "협의회"이라 한다)를 구성하여 운영한다.
협의회는 인증제도와 관련한 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정 등의 업무를 수행한다.
2 .인증기관
법정인증기관인 한국인터넷진흥원, 과학기술정보통신부장관과 개인정보보호위원회가 지정한 인증
기관은 인증에 관한 업무를 수행한다.
한국인터넷진흥원은 인증위원회 운영, 인증심사원 양성 및 자격관리, 인증 제도 및 기준 개선 등 ISMS-P
인증제도 전반에 걸친 업무를 수행한다.16 _ 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도 안내서
인증기관은 신청기관이 수립·운영하는 관리체계를 인증기준에 따라 심사하고, 인증위원회를 운영
하여 인증기준에 적합한 기관에게 인증서를 발급한다.
과학기술정보통신부장관, 개인정보보호위원회가 2019년 7월 지정한 인증기관인 금융보안원(FSI)은
금융 분야 인증위원회를 구성·운영하고, 인증심사 및 인증서 발급 업무를 수행한다.
3 .인증위원회
인증위원회는 인증심사 결과가 인증기준에 적합한지 여부, 인증 취소에 관한 사항, 이의신청에 관한
사항 등을 심의·의결한다.
인증위원회는 35명 이하의 위원으로 구성하며, 위원은 정보보호 또는 개인정보보호 분야에 학식과
경험이 있는 전문가 중에서 한국인터넷진흥원 또는 인증기관의 장이 위촉한다.
4 .심사기관
심사기관은 인증심사 일정이 확정될 시 한국인터넷진흥원에 심사원 모집을 요청하여 심사팀을 구성
하고, 신청기관이 수립·운영하는 정보보호 및 개인정보보호 관리체계를 인증기준에 따라 심사하며,
심사기간에 발견된 결함사항의 보완조치 이행 여부 확인 등 인증심사 업무를 수행한다.
2019년 7월, 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA)가 ISMS-P 심사기관으로
지정되었고, 2020년 2월 개인정보보호협회(OPA)가 심사기관으로 추가 지정되었다.
2021년 3월, 고시 개정으로 인증제도를 개선하였다. 심사기관 상시 지정, 현장실사 등 사후관리를
강화하였으며, 지정취소 및 업무정지 사실의 공고기준을 마련하여 전문성과 역량을 갖춘 심사기관을
확대할 수 있는 기반을 마련하였다.
5 .신청기관
신청기관은 정보보호 및 개인정보보호 활동이 체계적이고 지속적으로 관리되고 있는지를 객관적
으로 검증 받기 위하여 ISMS-P 인증을 취득하고자 신청하는 자를 의미한다.
인증기준 항목
의무대상자
인증심사 절차
인증절차는 준비부터 신청, 심사, 인증까지 4단계로 구성된다. 인증 신청 기관 및 기업은 인증 신청을 준비하면서 관리 시스템을 구축해 2개월 간 운영해야 한다. 이후 신청 단계에서 공문을 접수하고 예비 점검을 받게 된다. 인증 수수료를 납부하면 본격적인 심사 단계에 접어들며, 서면 및 현장 심사가 진행된다. 심사 기관은 심사 결과로 결함 사항을 보완하도록 요청하며, 신청 기관 및 기업은 보완조치 결과를 제출해 보완조치를 이행했는지 점검 받아야 한다. 심사기관은 이를 토대로 심사결과보고서를 작성하고 인증위원회를 통해 인증서를 발급하게 된다.
인증 심사에 소요되는 시간은 약 4개월이며, 비용은 약 1,500만 원이다. 중소기업은 약 30%의 수수료 할인이 적용되며, 정보보호를 공시해도 30% 할인을 받을 수 있다.
ISMS 인증을 획득하면 정보보호 전문서비스 기업 지정 시 ‘업무 수행력 심사 평가표’의 정보보호 인증 기업 항목에서 만점을 받을 수 있다. 또한 보안 관제 전문 기업 지정 시에도 인증 기업 항목에서 만점을 받을 수 있다. 한국인터넷진흥원은 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가시 가산점을 부여한다. 국토교통부는 스마트시티 기반 시설 보호에 대해 인증 취득을 권고하고 있으며, 교육부 또한 사이버 대학 원격교육설비에 대해 인증을 취득해야 한다고 권고한다.
'보안' 카테고리의 다른 글
| [보안] Gobuster ? 알아볼게요 (0) | 2023.08.31 |
|---|---|
| [보안] OSINT ? 알아볼게요 (0) | 2023.08.31 |
| [보안] 코드로 보는 인공지능과 기계 학습을 활용한 보안 (0) | 2023.08.11 |
| [보안] ISMS 인증 이란? (0) | 2023.08.09 |
| [보안]'CSAP' 란 무엇인가? (1) | 2023.08.08 |
